Введение в современную криптографию


Шифрование и аутентификация сообщений



Pdf көрінісі
бет86/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   82   83   84   85   86   87   88   89   ...   249
Криптография Катц

4.1.2 Шифрование и аутентификация сообщений
Цели секретности и целостности сообщений различны, и методы их достиже-
ния также различны. К сожалению, секретность и целостность часто путаются 
и ненужным образом объединяются, так что сразу разъясним: шифрование (в 
общем) не обеспечивает целостность, и шифрование никогда не должно ис-
пользоваться для аутентификации сообщений, если оно не создано специально 
для этой цели (мы вернемся к этому в Разделе 4.5).
Можно ложно предположить, что шифрование решает проблему аутентифи-
кации сообщений. (Это даже является популярной ошибкой.) Это происходит 
из-за запутанных, ложных заключений о том, что так как шифртекст полностью 


122
скрывает содержание сообщения, противник не может изменить зашифрован-
ное сообщение значимым образом. Несмотря на интуитивную привлекатель-
ность этого заключения, оно абсолютно ложное. Мы продемонстрируем это, 
показав, что ни одна из схем шифрования, рассмотренных нами до сих пор, не 
обеспечивает целостность сообщения.
Шифрование с помощью поточных шифров . Рассмотрим простую шифро-
вальную схему, в которой Enck (m) вычисляет шифртекст c := tt(k) ⊕m, где tt — 
псевдослучайный генератор. Шифртексты в этом случае могут быть очень легко 
манипулируемы: переключение любого бита в шифртексте c приведет к переклю-
чению того же бита в сообщении, полученном при дешифровке. Так, зная шифр-
текст c который шифрует (возможно неизвестное) сообщение m, можно создать 
модифицированный шифртекст cr, такой что mr := Deck (cr) равно m, но с одним 
(или более одного) переключенным битом. Эта простая атака может иметь тя-
желые последствия. В качестве примера, рассмотрим случай, когда пользователь 
шифрует некоторое количество долларов, которое он хочет перевести со своего 
банковского счета, где эта сумма представлена в двоичной системе исчисления.
Переключение самого незначительно бита приводит к изменению суммы все-
го на $1, но переключение 11-го незначительного бита изменяет сумму на более 
чем $1000! (Интересно, что противник в этом примере не знает, уменьшается или 
увеличивается ли исходная сумма, т.е. происходит ли переключение с 0 на 1 или 
наоборот. Но если противник обладает частичными знаниями о сумме, например, 
для начала, что она меньше $1000, то внесенные им изменения могу иметь пред-
сказуемый эффект.) Обратим внимание, что эта атака не противоречит секретно-
сти шифровальной схемы (в значении Определения 3.8). На самом деле, эта же 
самая атака применима к шифровальной схеме Вермана, что показывает, что даже 
полная секретность недостаточна даже для самого базового уровня целостности.


Достарыңызбен бөлісу:
1   ...   82   83   84   85   86   87   88   89   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет